Apache Shiro身份驗證繞過漏洞來襲 啟明星辰提供解決方案

10月12日，Apache官方披露了Apache Shiro存在身份驗證繞過漏洞，當通過 RequestDispatcher 進行轉發或包含時存在身份驗證繞過漏洞。不法分子則利用該漏洞在未授權的情況下，構造惡意數據繞過 Shiro 的權限配置機制，最終可繞過用戶身份認證，導致權限校驗失敗。啟明星辰漏洞掃描產品團隊在第一時間對這個漏洞進行了緊急響應并提供應急處置方案。

Apache Shiro是一個強大且易用的Java安全框架,執行身份驗證、授權、密碼和會話管理。使用Shiro的API,可快速、輕松地獲得任何應用程序,從最小的移動應用程序到最大的網絡和企業應用程序。目前該漏洞POC（概念驗證代碼）雖未公開，但存在被不法分子利用進行挖礦木馬和僵尸網絡等入侵行為的風險。

 漏洞檢測 

啟明星辰天鏡脆弱性掃描與管理系統已緊急發布針對該漏洞的升級包，支持對該漏洞進行授權掃描，用戶升級標準漏洞庫后即可對該漏洞進行掃描：

升級后已支持該漏洞

請使用啟明星辰天鏡脆弱性掃描與管理系統產品的用戶盡快升級到最新版本，及時對該漏洞進行檢測，以便盡快采取防范措施。

 臨時措施 

如果目前無法升級，若業務環境允許，使用白名單限制web端口的訪問來降低風險。

 修復建議 

官方已經針對漏洞發布了軟件更新

北冥數據實驗室

北冥數據實驗室由啟明星辰集團天鏡漏洞研究團隊、泰合知識工程團隊、大數據實驗室（BDlab）場景化分析團隊聯合組成，致力于網絡空間安全知識工程研究和體系化建設的專業團隊。

實驗室秉持以需求為導向、知識賦能產品的核心理念，專注于提供網絡空間安全的基礎知識研究和開發，制定結合威脅和漏洞情報、網絡空間資產和云安全監測數據等綜合情報以及用戶實際場景的安全分析防護策略，構建自動化調查和處置響應措施，形成場景化、結構化的知識工程體系，對各類安全產品、平臺和安全運營提供知識賦能。